Il 24% delle società controllate e il 48% delle Regioni non hanno definito policy e procedure per la gestione delle richieste e dei reclami da parte degli interessati, o delle stesse Autorità. Inoltre, il 24% delle società in-house e addirittura il 58% delle Regioni non hanno processi documentati per la valutazione dei rischi sulla protezione dei dati personali (Dpia), in relazione all’utilizzo di nuovi prodotti, tecnologie o servizi. Sono alcuni dei dati raccolti nell’indagine a tappeto a carattere internazionale, avviata lo scorso settembre dalle Autorità per la protezione dei dati personali appartenenti al Global privacy enforcement network (Gpen) per verificare il rispetto del principio di accountability, introdotto anche in Europa dal Gdpr, con il Regolamento Ue sulla protezione dei dati.
“Il Garante italiano – spiega una nota – ha rilevato nel nostro Paese, anche a seguito dell’analisi avviata, un progressivo miglioramento nelle misure a tutela della privacy adottate dagli enti pubblici”.
Tra le criticità emerse analizzando 19 soggetti pubblici (Regioni e Provincie autonome) e 54 società in-house si evidenziano “carenze in merito alla gestione degli incidenti di sicurezza – i cosiddetti Data Breach – tanto che un quinto delle organizzazioni non ha ancora implementato una procedura di risposta agli incidenti di sicurezza che includa, tra l’altro, la notifica all’Autorità e, in caso di alto rischio per le libertà e i diritti degli interessati, anche la comunicazione a questi ultimi. Un quarto delle organizzazioni, inoltre, sembra non disporre di un registro per documentare le violazioni subite”.
E se la maggior parte dei soggetti analizzati ha creato un registro dei trattamenti effettuati, un quinto delle Regioni, però, “dovrebbe fare uno sforzo maggiore per tenere traccia anche dei dati personali comunicati o trasmessi a terzi”.